L'esdeveniment “DATA SPACES IN EU: Synergies between data protection and data spaces, EU challenges and experiences of Spain”, organitzat per l'Agència Espanyola de Protecció de Dades (AEPD) i l'Agència de la Unió Europea per a la Ciberseguretat (ENISA), va abordar les Iniciatives Europees d'Espais de Dades des de la perspectiva de la privacitat el passat 2 d'octubre a Madrid. En ella, el director de la Càtedra de Privacitat i Transformació Digital de la Universitat de València i membre de l’IRTIC Ricard Martínez va contrastar l'impacte de la Llei de Dades, Llei de Governança de Dades, Reglament europeu sobre l'espai de dades sanitàries i elements que relacionats amb la seua interacció.
“Després d'analitzar les disposicions de cadascuna d'aquestes normatives, és evident que l'objectiu del legislador és combatir el que els acadèmics han definit com la fal·làcia del consentiment”, va assenyalar Martínez. És a dir, es tracta d'una política que “complementa els drets de transparència i control directe sobre l'oferta de dades personals dels individus”.
En aquest sentit, va enumerar l'accés directe a les dades per part de l'interessat, la limitació de la finalitat del tractament de dades i de l'accés a les dades sanitàries relacionades per a usos primaris, el dret a transferir les dades a tercers diferents del principal responsable del tractament i la gran capacitat per a compartir dades en activitats d'altruisme de dades.
En l'opinió del director de la càtedra, la majoria dels consentiments obtinguts per a l'ús secundari de dades tenen greus problemes de validesa per raons com que l'usuari no entén les polítiques de privacitat que, per exemple, demanen el consentiment, com indiquen, "per a millorar l'experiència de l'usuari". El subjecte de les dades “s'enfronta a serveis en règim quasi de monopoli”, afig Martínez, i “existeix una situació de desequilibri, sobretot en el cas de les xarxes socials, els serveis d'internet i la investigació sanitària”.
Les tres normatives esmentades tenen per objecte proporcionar, per tant, un marc per a la presa de decisions i la portabilitat de dades (Llei de Dades), nous drets de control sobre els usos secundaris (altruisme de dades) i drets de control sobre usos primaris en salut i desenvolupament del que es disposa en els articles 6 i 9.2 del Reglament General de Protecció de Dades (RGPD) en l’EHDS.
La capacitat de dissenyar carteres de consentiment dinàmiques es troba entre els desafiaments específics que això planteja als titulars de les dades i als espais de dades, així com garantir mètodes híbrids de recollida del consentiment que gestionen el risc cultural en la bretxa digital i gestionar la generació de proves digitals, apunta l'expert en privacitat. En aquest últim cas, enumera el suport humà en el món físic, una redacció clara i comprensible dels formularis de consentiment, l'ús d'interfícies de vídeo integrades en entorns de telèfons mòbils, els consentiments per passos amb múltiples capes de transparència i les validacions de doble comprovació.
Quant a la gestió del risc per a la reputació, “s'ha de ser just amb l'interessat i oferir transparència en la devolució de resultats en indicar per a què s'han utilitzat les seues dades” i “millorar les maneres de comunicar les nostres activitats als mitjans de comunicació”, va remarcar Martínez.
El director de la Càtedra de Privacitat i Transformació Digital de la Universitat de València i membre de l’IRTIC va assenyalar qüestions addicionals d'aquest àmbit, com a entorns en els quals proporcionar el consentiment no és una bona idea, la recuperació de la idea del bé comú i el perill que l'obtenció del consentiment explícit per a investigacions específiques es veja soscavada per la "fatiga del clic". D'altra banda, la nova legislació presenta noves oportunitats i reptes en matèria de tractament de dades, va continuar, fruit de les lliçons apreses de la divergència de les legislacions nacionals sanitàries.
La Unió Europea, va opinar Martínez, està definint un enfocament de la transformació digital centrat en l'ésser humà mitjançant la promoció de serveis d'intermediació públics i privats, així com d'espais de dades europees específiques. “La majoria d'aquestes polítiques podrien aprendre dels projectes europeus finançats per la investigació”, va postil·lar l'expert.
“Tal com els defineix la nova legislació, els principals fins secundaris del tractament de dades estan directament relacionats o són similars a les activitats d'investigació i innovació”, va comentar el director de la càtedra, per la qual cosa “ens enfrontem a diferents legislacions nacionals que apliquen el RGPD, i la soft law proporcionada pels reguladors augmenta les divergències”. Així mateix, va continuar, “els espais de dades federades ofereixen una metodologia de tractament de dades a escala local conformement a les legislacions nacionals i sembla que l'única manera de processar dades a escala transeuropea requereix l'anonimització”.
L'expert va comentar que això serà problemàtic pel fet que no hi ha acord sobre què significa anonimització. Va considerar necessari, malgrat les dificultats, “construir una nova cultura entorn de les tecnologies que milloren la privacitat i que aquestes siguen compatibles amb els escenaris de seudonimització” i centrar-se, a més de la interoperabilitat, en la seguretat, la traçabilitat i la disponibilitat local.
Proporcionar governança legal en tots els passos, mitjançant la gestió dels serveis d'espais de dades, la promoció de normes clares i acords específics sobre l'intercanvi de dades i els termes i condicions, i l'adopció de polítiques específiques vinculants per als usuaris sobre tractament de dades, traçabilitat o clàusules de no reidentificació va ser un dels nous procediments a diferents nivells que Martínez va estimar necessari tindre en compte en espais de dades.
Un altre d'ells va ser proporcionar governança organitzativa en matèria d'ètica a través de la definició de requisits legals i ètics, incloent-hi noves eines com les avaluacions de riscos d’IA, i la implementació de procediments suportats per comités d'accés a dades o col·laboracions amb noves parts interessades, com els organismes d'accés a dades sanitàries.
Martínez també va esmentar la definició d'un personal de suport d'alta qualitat en aquests aspectes, fent referència a responsables de protecció de dades, seguretat, dades, experts en compliment de la normativa, incloent-hi la IA, i analistes de dades, entre altres.
Per a finalitzar, l'expert en privacitat va destacar la necessitat d’“un nou enfocament per part d'autoritats independents. La major part de les nostres futures activitats de processament seran a la frontera d'una caixa d'arena. Ara és el moment d'aprendre junts construint el Somni Europeu de la Transformació Digital”.
L’IRTIC participa en el projecte CHAIMELEON, una iniciativa que establirà un depòsit d'informació digital estructurat en tota la Unió Europea de dades d'imatges sanitàries. El repositori s'utilitzarà, entre altres finalitats, com a font oberta controlada per a l'experimentació de la intel·ligència artificial en la investigació sobre el càncer. L'institut s'ha centrat en comprovar que el sistema s'ha dissenyat basant-se en els principis de privacitat i seguretat necessaris, de manera que es puga investigar amb la informació disponible en la infraestructura sense menyscabar els drets de les persones de les quals s'han obtingut les imatges mèdiques.
En aquesta línia de protecció de les dades usades, l'institut està immers en WELLBASED, que té l'objectiu d'alleujar la pobresa energètica entre les persones més vulnerables i desfavorides, promovent al mateix temps comportaments d'eficiència energètica i reduint la demanda d'energia en aqueixes llars. Fa el propi en AI4HealthyAging, una solució basada en IA que permetrà la detecció precoç i l'actuació ràpida en malalties neurològiques, motores i degeneratives derivades de l'envelliment.
Més informació a la web d'AEPD.
